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CE&TIFICM D'UTILITE 

Code de (a propriete inlellecttielle - Uvre VI 

REQUETE EM DEUVRANCE 1/2 



N° 11334*01 



REMISE OES PIECES 

2 * "EC. 2002 

N" O'ENREGtSTREMENT ^2 1 S033 
NATIONAL ATTRiBU£ PAR UlNPf 
DATE OE DEPOT ATTRIBUTE 

parunpi 2 h DEC 2002 


g|] NOM ET ADRESSE DU DEWIANDEUR OU DU MANDATA1RE 
A QUI LA CORRESPONDANCE DOIT ETRE ADRESSEE 

n a 

CABINET MOUTARD 
B.P.513 

78005 VERSAILLES CEDEX 

a a 


Vos references pour ce dossier 

(facultatij) TRUSB0015 


Confirmation d'un dSpot par tetecopie N° attribuS par I1NPI a la telecople $t O ^ Q 


H NATURE DE LA DEMANDS 


Cochez Tune des 4 cases suivantes 


Demande de brevet 




| Demande de certfficat d'utilftS 


□ 


Demande divlslonnaire 

Demande de biwet initiate 
ou demande de certijicatd'ulilite' initiale 


□ 

N° Date { /. i 

N° Date j / ! i 


Transformation d'une demande de 
brevet europeen Demande de brevet initiale 


□ 

N° Date L././ 1 



| TITOE DE !L r IF<!VENTIOW (200 caracteros ou espacos maximum). 

PROCEDE DE SECURISATION DES SYSTEMES INFORMATIQUES PAR CONFINEMENT LOGICIEL. 



H DECLARATION DE PRIORFTE 
OU REQUITE DU BENEFICE DE 
LA DATE DE DEPOT D'UWE 
DEMANDE ANT&RIEURE FRAN?AISE 


Pays ou organisation 

Date I / /. ... J N° 
Pays ou organisation 

Date L /. / N° 

Pays ou organisation 

Date 1 / / 1 N° 
□ S'il y a d'autres priorites, cochez la case et utilises rimprime «$uite» 


M DEMANDEUR 


□ S T il y a d'autres demandeurs r cochez la case et utilisez !'imprlm6 «Sufte» 


Nom ou denomination sociale 


TRUSTED LOGIC 


Prenoms 




Forme juridique 


society anonyme 


N° SIREN 


; 4 .2 .1 A .8 .3 .4 .1 3 | 


Code APE-NAF 


17 -2.1 Z | 


Adresse 


Rue 


5, rue du Bailliage 


Code postal et viiie 


78000 | VERSAILLES 


Pays 


France 


Nationality 


frangaise 


| N° de telephone (factdlatij) 




N° de tttecopie (facidtalif) 




Adresse electronique (factdtatif) 
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rtJoioKAioi 
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REMISE D£S PIECES 
DATE 

™0£) 2 4 DEC. 2002 

N° D'ENREGJSTREMENT 02 16933 

NATIONAL ATTRIBUS PAR L'INPI 



Vos rareness pour ce dossier i 

(factittatif) 



TRUSBOO 1 5 



MANDATAIRE 



Norn 



de Saint Palais 



Prenom 

Cabinet ou Society 



Amaud 



CABINET MOUTARD 



N °de pouvoir permanent et/ou 
de lien contractuel 



Adresse 



Rue 



35, rue de la Paroisse 



Code postal et ville 



N° de telephone (facullatif) 
N° de telecopje (facultaiif) 



78000 | Versailles" 



01 30 83 79 79 



Adresse electronique (facttllatif) 



01 30 83 79 78 



asp@moutard.fr 



INVEI^TEUH (S> 



Les Inventeurs sont les demandeurs 



Qui 



Non Dans ce cas fourair une designation d'Inventeur{s) sepsree 



RAPPORT DE RECHERCHE 

£tablissement immSdiat 



Uniquement pour une demande de brevet (y compris division et transformation) 



ou etablissement differe 



□ 



Paiement echelonnS de la redevance 



Palemeni en trois versements, uniquement pour les personnes physiques 
□Oul 
□Non 



REDUCTION DU TAUX 
DES REDEVANCE5 



Uniquement pour les personnes physiques 

□Requise pour la premiere fois pour cette invention Qoindreun avis de non-imposition) 
□Requise anterieurement a ce depot (Joindre une copie de la decision d'admission 
pour cette invention ou indiquersa reference ) : 



Si vous aves utilise Pimprime «Sufte», 
indiquez !e nombre de pages jotrrtes 



li SIGNATURE DU DERffANDEUH 
OU DU JVfAWDATAIRE 

(Mom et qualitd du sign at a ire) ■ 



A. de Saint Palais - No]94-0306 



No|9 



VISA DE LA PREFECTURE 
OU DE L'INPI 

iVL MARTIN 



~ - -~— ^ JJ -— ' l — IMnformatlgu^aux fichjers et aux Ijbertes s'appiigue auxjeponses faitesace formulaire. 

t»e garantit un droit d'acces et de rectification pour les donnees vous concernant aupres de PINPL " 
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10 La presente invention conceme la securisation des systemes informatiques 
par confinement logique de donnees. 

Elle a plus particulierement pour objet la securisation des systemes 
informatiques offrant la possibility d'execution de codes manipulant des 

15 donnees. qui doivent etre traitees separ6ment. Cette separation est;- 
g6neralement dictee par des besoins de securite. A titre d'exemple, les£ 
donnees du syst&me Sexploitation qui conditionnent le bon fonctionnement ~ 
de la plate-forme ne doivent pas pouvoir etre modifies par une application- 
quelconque* De meme 5 dans les systemes permettant l'execution 

20 ^applications multiples, les donn6es d'une application doivent g^neralement 
Stre proteg6es des autres applications, 

Ces besoins prennent dans certains cas un caractere critique ; on peut penser 
par exemple, et de maniere non limitative, aux systemes embarques multi- 
25 applicatifs du type cartes a puce, terminaux de paiement, assistants digitaux, 
ou telephones portatifs, surtout lorsque ces systemes embarques permettent 
le tele-chargement duplications. En effet, ces applications t61echarg6es 
peuvent provenir de sites multiples, qui offrent des garanties de confiance 
tres variees. 

30 
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D'une facon generate, on sait que la plupart des solutions generalement 
adoptees pour repondre a ce besoin de separation desdites donnees de 
systemes Sexploitation et ^applications repose sur l'utilisation de 
mecanismes proposes par le materiel. Typiquement, des unites (physiques) 
de gestion de memoire ("MMU, ou Memory Management Unit") associent 
des espaces physiques a des applications et les protegent contre des acces 
provenant d'autres applications. Cependant, cette solution, quand elle est 
disponible, n'est pas tres souple et s'associe difficilement aux systemes 
d'allocation dynamique de donnees (le nombre d-espaces physiques etant 
fixe), specialement dans le cas des systemes embarques disposant de pen de 
ressources et soumis a de fortes contraintes de securite. 

La presente invention a done plus parti culierement pour but de palier a ces 
inconvenients. 

Elle propose, a cet effet, de rendre plus flexible la securisation des donnees 
et de l'etendre au cas d'allocation dynamique de memoire. 

Elle fait essentiellement intervenir : 

- au moins un gestionnaire de memoire gerant des unites d'allocation 
memoire qui peuvent etre typiquement une page de taille fixe ou un bloc 
de taille variable, 

- au moins des possesseurs et des demandeurs d'allocation memoire 
pouvant etre typiquement des applications de l'utilisateur du systeme 
d' exploitation du systeme informatique ou le systeme d' exploitation lui- 
meme. 



Selon l'invention, le precede de securisation d'un systeme informatique par 
confinement Iogique de donnees comprend la separation desdites donnees 
30 par possesses et leur chiffrement avec une cle dediee ; ce processus de 




separation et de chiffrement s'effectue grace a un mode operatoire 
comprenant les etapes suivantes : 

- une allocation de memoire realisee par un gestionnaire de memoire a la 
demande d'un autre coraposant du systeme d'exploitation qui transmet 
audit gestionnaire de memoire l'identite du demandeur. Ce demandeur 
deviendra le possesseur de la m6moire allouee. La transmission de 
l'identite du demandeur peut se faire soit par la gestion d'un contexte 
courant, soit par le passage de parametres aux fonctions du gestionnaire de 
m6moire ; 

- un controle par le susdit gestionnaire de memoire de l'ensemble des unites 
d'allocation mdmoire, chacune etant associee a un possesseur de 1'unite 
deallocation memoire. Chaque unit6 d'allocation memoire ne peut avoir 
qu'un et un seul possesseur; neanmoins plusieurs unites d'allocation 
memoire peuvent avoir le m§me possesseur ; 

- une utilisation par le gestionnaire de memoire d'un secret associe a chaque 
possesseur. Ce secret peut typiquement etre fourni au gestionnaire de 
memoire par le systeme d'exploitation au moment de l'introduction du 
possesseur dans le systeme ou a chaque acces a une unit6 d'allocation 
m6moire ; 

- une utilisation par le gestionnaire de memoire d'une cl6 pour chaque 
possesseur. Cette cle peut par exemple 6tre derivee d'un secret associe au 
possesseur et une cle dite "maitre" a laquelle seul le gestionnaire de 
memoire a acces ; 

- une verification par le gestionnaire de memoire, pour chaque demande 
d' acces a une unite d'allocation m6moire, de l'identit6 du demandeur ; si 
cette identit6 n'est pas identique a celle du possesseur de ladite unit6 
d'allocation m6moire, alors Faeces a l'unit6 d'allocation memoire est 
refuse par le gestionnaire de memoire ; 

- une realisation par le gestionnaire de memoire du chiffrement (dans le cas 
d'une demande d'ecriture) ou du d6chiffrement (dans le cas d'une demande 
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de lecture) des donnees concemees avec la cle associee au possesseur, 
cette cle pouvant 6tre recalculee par le gestionnaire de memoire. 

Ainsi, les donnees des differents possesseurs etant chiffrees de maniere 
5 automatique, par un secret que seul le gestionnaire de memoire connait, il est 
impossible pour une application d'avoir acces aux donnees d'un autre 
possesseur. 



Deux situations peuvent se presenter lorsqu'un tiers tente d'acc6der a une 
1 0 unite d'allocation memoire qui ne lui appartient pas : 

- cette tentative peut etre declenchee par I'intermediaire du gestionnaire de 
memoire : dans ce cas, le contrdle effectue par le gestionnaire de memoire 
conduit automatiquement au rejet de la demande ; 

- cette tentative peut etre declenchee de maniere illicite, sans passer par 
15 I'intermediaire du gestionnaire de memoire, par acces direct a la memoire 

physique, dans le cas ou les verifications effectuees par le materiel ne 
suffisent pas a ecarter cette possibility : le tiers pourra alors effectuer une 
lecture, mais, ne disposant pas de la cle de dechiffrement, il obtiendra des 
donnees inutilisables. 
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A partir du moment ou la cle maltre est memorisee dans une zone prot6gee, 
la confidentialite des donnees est done preservee dans les deux cas. 

Avantageusement, le procede selon 1'invention ne depend pas du fait que 
25 1'unite d'allocation memoire soit une page Iogique de taille fixe ou un bloc de 
taille variable. Dans le cas ou 1'unite d'allocation est la page, le procede se 
raffinera de la facon suivante : lorsque le gestionnaire de memoire recoit une 
demande d'allocation d'un bloc pour le compte d'un possesseur, il recherche 
d'abord une page ayant le meme possesseur ; ainsi, tous les blocs alloues par 
un possesseur d'unite d'allocation memoire se trouvent regroupes dans une 
_ou pjusimjrsj^gesdediees._ 



BEST AVAILABLE COPY 




Le procede selon l'invention pourra etre ameliorS de plusieurs manidres (non 
exclusives) : 

5 - Au lieu d'associer une cle unique a un possesseur donne, le gestionnaire 
de memoire peut associer une cle a chaque ensemble possesseur et unite 
deallocation memoire. Cette amelioration a deux avantages : d'une part, 
elle reduit les probability de decouverte des cl£s utilis6es (en cas 
d'attaque cryptographique) puisque chaque cle sera utilisSe moins 
10 souvent ; d'autre part, elle r6duit les risques en cas de decouverte d'une cle 
puisque seule l'unite d' allocation memoire associee sera mise en danger. 

- Le gestionnaire de memoire peut egalement integrer dans chaque unit6 de 
memoire une zone permettant d ! en verifier l'mtSgrite, par exemple a partir 

15 d'un simple "checksum" (somme des controles) signe ou d ! un algorithm^ 
cryptographique. La donnee contenue dans cette zone est mise a jour paje 
le gestionnaire de m&noire a chaque acces en ecriture a Tunit6. Elle peu$ 
£tre utilisee par le gestionnaire de memoire k des fins de verification, soit 
syst6matiquement k chaque acces a l'unite, soit de fa9on periodique. La 

20 verification consiste simplement, avant Faeces demande, a recalculer la 
donnee d'integrite k partir du contenu de l'unite (donnees en clair) et a la 
comparer a la donnee contenue dans la zone d'integrite. Une modification 
intempestive ou illicite du contenu de l'unite pourra alors Stre d£tectee, ce 
qui renforcera la securite de la gestion des donnees. 

25 

- L'association de differents niveaux de securite aux applications et 
Tutilisation de moyens de chiffrement differents (typiquement 
algorithmes, longueurs de cles) selon le niveau de s6curite assocte 
permettent de proportionner le cout de mise en oeuvre (temps d'execution 

30 notamment) a Tobjectif recherche en matiere de securite. 



A titre d'exemple non Iimitatif, il pourra etre justifie de reserver les moyens 
cryptographiques les plus puissants (et les plus couteux) pour la protection 
d'une unite de memoire destinee a recevoir des clefs de chiffrement ou des 
droits d'acces. 



La combinaison du procede" selon l'invention a un mecanisme de 
protection physique (MMU) permet une protection a granularite plus fine. 
Par exemple, les applications peuvent etre regroupees en plusieurs grandes 
cat6gories (eventuellement, et de maniere non limitative, selon le niveau 
de confiance qu'on peut Ieur accorder, la premiere distinction naturelle 
pouvant etre entre applications des utilisateurs et applications du systeme 
d'exploitation), chaque categorie 6tant proteg6e des autres par le 
m6canisme physique et les applications etant protegees entre elles par le 
procede de confinement logiciel selon Finvention. 



REVENDICATIONS 

1. Procede de securisation par confinement logiciel d'un systeme 
informatique qui execute des codes manipulant des donnees, faisant 

5 intervenir : 

- au moins un gestionnaire de memoire gerant des unites deallocation 
memoire qui peuvent etre typiquement une page de taille fixe ou un bloc 
de taille variable, 

- au moins des possesseurs et des demandeurs d'unites d'allocation 
10 m6moire pouvant etre typiquement une application de Putilisateur du 

systeme d'exploitation du systeme informatique ou le systeme 

d'exploitation lui-meme, 
caracteris£ en ce qu'il comprend une separation des donnees par possesseur 
d'au moins une unite d'allocation memoire et le chiffrement desdites. 
15 donn6es avec une cle dddiee. 

2. Procede selon la revendication 1, caracterise en ce qu'il comprend 
les etapes suivantes : 

- une allocation de memoire realisSe par le gestionnaire de memoire a la 
20 demande d'un autre composant du systeme d'exploitation qui transmet 

audit gestionnaire de memoire Tidentite du demandeur ; 

- un contr61e par le susdit gestionnaire de memoire de V ensemble des unites 
d'allocation, chacune £tant associee a un possesseur de l'unite d'allocation 
memoire ; 

25 - une utilisation par le gestionnaire de mdmoire d f un secret associe a chaque 
possesseur ; 

- une utilisation par le gestionnaire de memoire d'une cle pour chaque 
possesseur ; 

- une verification par le gestionnaire de memoire, pour chaque demande 
30 d'acces a une unite d'allocation memoire, de l'identite du demandeur ; si 

cette identite n'est pas identique a celle du possesseur de ladite unite 
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d'allocation memoire, alors 1'acces a 1 'unite d'allocation memoire est 
refuse par le gestionnaire de memoire ; 
- une realisation par le gestionnaire de memoire du chifrrement (dans le cas 
d'une demande d'ecriture) ou du dechiffrement (dans le cas d'une demande 
de lecture) des donn6es concernees avec la cle associee au possesseur, 
cette cle etant au moins recalculee par le gestionnaire de memoire. 

3. Procede selon la revendication 2, caracterise en ce que I'unitd 
d'allocation est la page, et que le gestionnaire de memoire, Iorsqu'il recoit 
une demande d'allocation d'un bloc pour le compte d'un possesseur d'unite 
d'allocation memoire, recherche d'abord une page ayant le meme 
possesseur de faeon a ce que tons les blocs alloues par ledit possesseur se 
trouvent regroupes dans une ou plusieurs pages dddiees. 

4. Procede selon la revendication 2, caracterise en ce que la 
transmission de 1'identite du demandeur se fait soit par la gestion d'un 
contexte courant, soit par le passage de parametres aux fonctions du 
gestionnaire de memoire. 
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5. Procede selon la revendication 2, caracterise en ce que le 
gestionnaire de memoire calcul dynamiquement la cle d'un possesseur a 
partir du secret associe audit possesseur et d'une cle dite "maitre" a laquelle 
seule le gestionnaire de memoire a acces. 

6. Procede selon la revendication 1, caracterise en ce que le 
gestionnaire de memoire associe une cle a chaque ensemble possesseur et 
unitd d'allocation memoire au lieu d'associer une cle unique a chaque 
possesseur. 




7. Procede selon la revendication 1, caracterise en ce que le 
gestionnaire de memoire integre dans chaque unite d' allocation memoire une 
zone permettant d'en verifier Tintegrite. 

5 8. Procede selon la revendication 1, caracterise en ce qu'il associe 

differents niveaux de securite aux applications et utilise des moyens de 
chiffrement differents selon le niveau de securite associe. 

9. Procede selon la revendication 1, caracterise en ce qu'il est combine 
10 a un mecanisme de protection physique. 

10. Procede selon la revendication 1>. caracterise en ce qu'il est 
implements sur un systeme embarque tel un terminal du type telephone 
portatif, un terminal de paiement bancaire, un terminal de paiement portatif, 

15 un assistant digital ou "PDA", une carte k puce. 

'*t 
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Code de la propriete iriteliectuelle - Livre VI 
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DEPARTEMENT DES BREVETS 

26 bis, rue de Saint Peicrsbourg 
75800 Paris Cedex 08 

Telephone : 01 53 04 53 04 Telecopie : 01 42 93 59 30 



DESIGNATION D'iNVENTEUR(S) Page N° J. . / J, . 
(Si le demandeur n'est pas Pinventeur ou I'unique fnventeur) 



Cet imprime est a remplir lisiblement a I'encre noire 



DSi)3 VY/260899 



Vos references pour ce dossier 

(facultatij) 



TRUSB0015 



W° D'ENREGISTREMENT NATIONAL 



02 16933 du 24 d6cembre 2002 



TITRE DE ^INVENTION (200 caracieres ou espaces maximum) ~ """" ~~ 

PROCEDE DE SECURISATION DES SYSTEMES INFORMATIQUES PAR CONFINEMENT LOGICIEL. 



LE(S) DEiV3ANDEUR($) i ~ ~" — 

^SSfSSSSSiSSS^i p "° lsse • 78000 ™ M1 " ■ - - <* ■— — i* * 



5, rue du Bailliage 
78000 VERSAILLES 



DBlGHE(in) m TAP8T QOTIWEHTETOff) : (fndiquez en haut a droite «Page g S'H y a plus de trois inventeurs 
utihsez un formulatre ideniique et numeroiez chaque page en fndiquant le nombre total de pages) ' 



HAMEAU 



Prenoms 



Patrice 



Adresse 



Rue 



18, rue de Belle-Feuille 



Code postal et ville 



92100 



BOULOGNE BILLANCQURT 



Societe d'appartenance (faadlatif) 



Nom 
Prenoms 



LE METAYER 



Daniel 



Adresse 



Rue 



23, rue de la Celle 



Code postal et ville 



78150 



LE CHESNAY 



Societe d'appartenance (facultatij) 



Prenoms 



MESNIL 



Cedric 



Adresse 



Rue 



25, avenue du Val d'Arcy 



Code postal et ville 



78340 



I LES CLAYES SOUS BOIS 



Societe d'appartenance (facultaUf) 



DATE ET SIGNATURES) 
DU (DES) DESWANDEUR(S) 
OU DU MANDATAIRE 
(Nom et qualite du signataire) 
03 janvier 2003 



A. de Saint Pal; 



il|is - No 94-0306 S 



La loi n-78-17 du 6 janvier 1978 relative a I'informatique, aux fichiers et aux libertes s'applique aux reponses faites a ce formulaire 
tue garantit un droit d acces et de rectification pour les donnees vous concernant aupres de I'lNPI. 
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